Pengguna 1inci Diberi Amaran Terhadap Sebarang Interaksi Apabila Tapak Webnya Dilanggar

Tapak web agregator pertukaran terdesentralisasi 1 inci telah dilanggar bersama-sama dengan berbilang platform lain yang menggunakan perpustakaan bahagian hadapan yang sama, Lottie Player.

Tapak web pengagregat pertukaran terdesentralisasi 1inch telah dilanggar bersama-sama dengan berbilang platform lain yang menggunakan perpustakaan bahagian hadapan yang sama, Lottie Player.

Pelanggaran itu ditemui selepas pengguna melaporkan aktiviti yang mencurigakan pada dompet mereka berikutan interaksi dengan platform ini. Setelah disiasat, didapati kod berniat jahat telah disuntik ke dalam Lottie Player, perpustakaan animasi yang digunakan secara meluas yang digunakan oleh beberapa dApps dan tapak web bukan crypto.

Setakat ini, tiada dompet pengguna dilaporkan telah terjejas. Walau bagaimanapun, pengguna 1 inci diberi amaran terhadap sebarang interaksi dengan platform sehingga isu itu diselesaikan sepenuhnya.

Menurut beberapa catatan di X (dahulunya Twitter), 1inch dan TEN Finance adalah mangsa yang disahkan serangan ini setakat ini. Walau bagaimanapun, bilangannya mungkin lebih tinggi, kerana eksploitasi menyasarkan Lottie Player versi 2.0.5 dan ke atas.

Penggodam dilaporkan telah menyuntik kod hasad ke dalam fail JSON bahagian hadapan tapak web menggunakan versi ini. Kod ini kini membolehkan tapak yang terjejas untuk melakukan transaksi tanpa kebenaran, yang menimbulkan ancaman teruk kepada aset dan data pengguna.

Laporan daripada Blockaid menunjukkan bahawa serangan itu diperkenalkan melalui kompromi pelayan kandungan Lottie Player, di mana pakej npm berniat jahat digunakan untuk mengedarkan kod yang diubah. Sekatan dan firma keselamatan lain telah mengesahkan suntikan skrip yang tidak dibenarkan dalam pakej.

“Tapak sah (bukan kripto juga) kini menyediakan kandungan berniat jahat, termasuk kod pengelakan anti-debug. @LottieFiles, nampaknya penyerang telah berjaya menolak versi jahat pakej anda, dengan versi lain sedang dimuat naik sekarang,” tulis Blockaid dalam catatan X (dahulunya Twitter).

Pada masa penulisan, 1inch belum mengeluarkan sebarang kenyataan rasmi mengenai pelanggaran tersebut. Walau bagaimanapun, pasukan Lottie Player telah mengesahkan bahawa mereka dapat mengenal pasti punca pelanggaran dan sedang berusaha untuk mengalih keluar versi yang terjejas.

Pengguna dinasihatkan untuk mengelak daripada menyambungkan dompet atau berinteraksi dengan platform yang terjejas sehingga isu keselamatan diselesaikan sepenuhnya.

Atas ialah kandungan terperinci Pengguna 1inci Diberi Amaran Terhadap Sebarang Interaksi Apabila Tapak Webnya Dilanggar. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!